"2500 Mal schneller zu knacken"
Schwachstelle bei iTunes-Backups von iOS-10-Geräten
Verschlüsselte Backups von iOS-10-Geräten sind den Sicherheitsforschern von ElcomSoft zufolge deutlich schwächer gesichert als dies bei vorherigen iOS-Versionen der Fall war. Das Unternehmen hat nach eigenen Aussagen ein Tool entwickelt, mit dem sich das Herausfinden von komplexen Passwörtern unter iOS 10 erheblich beschleunigen lässt.
Alle Versionen von iOS vor iOS 10 sind mit einem extrem robusten Schutz ausgestattet. Die Chancen, ein langes, komplexes Kennwort zu knacken, waren sehr gering und eine beschleunigte Ermittlung selbst dann nur mit einer leistungsstarken GPU möglich. Aufgrund unserer Entdeckung können wir nun Passwörter von iOS 10-Backups viel schneller ermitteln und das sogar ohne GPU-Beschleunigung.
Das von ElcomSoft entwickelte Software-Tool Phone Breaker könne sogenannte Brute-Force-Attacken unter iOS 10 bis zu 2500 Mal schneller ausführen. Während ein einzelner PC unter iOS 9 noch 150.000 Passwörter pro Sekunde abfragen konnte, lassen sich unter iOS 10 mit einer einzigen CPU bis zu 6 Millionen Passwörter pro Sekunde durchprobieren. Ein 6-stelliges, alphanumerisches Passwort, das ein iOS 10-Backup schützt, kann dem Unternehmen zufolge so innerhalb von wenigen Minuten geknackt werden. Der neu in Version 6.10 angebotene Elcomsoft Phone Breaker beinhaltet darüber hinaus ein Werkzeug zum Entschlüsseln des iOS-10-Schlüsselbunds und bietet damit Zugriff auf vom Nutzer gespeicherte Logins zu Webseiten und sonstigen Online-Angeboten.
Was bedeutet das für euch?
Die Schwachstelle betrifft zum einen nur iTunes-Backups, die in der Regel sicher auf eurem lokalen Rechner verwahrt sind. iCloud-Backups sind davon offenbar nicht betroffen. Somit ist die Gefahr, dass eure Daten auf diesem Wege ausgespäht werden zunächst sehr gering.
Unabhängig davon ist es natürlich immer eine gute Idee, komplexe Passwörter zum Schutz der persönlichen Daten zu verwenden. Das von ElcomSoft genannte Beispiel bezieht sich auf den vergleichsweise schwachen Schutz durch ein lediglich 6-stelliges Passwort ohne Sonderzeichen.
Apple hat dem Wirtschaftsmagazin Forbes zufolge bereits bestätigt, dass der Sachverhalt bekannt sei und ein Sicherheits-Update in Arbeit wäre. Das Unternehmen empfiehlt, zusätzlich den privaten Mac oder PC mit einem starken Passwort zu sichern sowie auf dem Mac die Aktivierung der Festplattenverschlüsselung FileVault.
We’re aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups. We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption
Ein Zugeständnis an staatliche Behörden?
War auch mein erster Gedanke
Erstmal muss der Staat an meine HDD dran kommen – lokal oder via Internet.
Sofern er es online zieht würde das sicherlich auffallen, wenn auf ein mal einige GB die Leitung blockiert.
Die Attacke Lokal auszuführen würde bedeuten dass Schadsoftware auf den rechner gelangen muss.
Alles nicht ganz so einfach würde ich sagen.
Naja, der Staat muss sich dein Backup (bzw. HDD) ja nicht illegal holen. Kann ja auch sein, dass sie per Durchsuchungsbeschluss deine HDD einfach mitnehmen. Und wenn dein Backup dann einfacher zu entschlüsseln ist, ist das natürlich einfacher für den Staat.
Also wenn die per Durchsuchungsbefehl kommen hab ich glaube ich ganz andere Probleme als mein iPhone Backup und DANN finde ich es auch gut wenn die da dran kommen.
Genau, deshalb gibt es Apple auch öffentlich zu und arbeitet an einer Lösung.
Nun stellt sich aber schon die Frage, warum nach jahrelang starker Verschlüsselung überhaupt plötzlich zwar keine schlechte, aber deutlich schwächere Sicherung installiert wird. Wie ein solcher Schritt überhaupt unbemerkt (?) Einzug halten konnte auf einem Gebiet, auf dem sich Apple ja ganz bewusst gegen seine Konkurrenz abzugrenzen sucht und sogar relevante Apps aus seinen Stores entfernt.
Ist ja nicht so, dass Sicherheit in den letzten Jahren kein Thema gewesen wäre. Das fällt auf, und da ist es mit einem laxen „sorry, dann wir arbeiten dann halt mal dran“ nicht getan.
Manchmal kann man von außen nicht wirklich verstehen warum gewisse Entwicklungsentscheidungen getroffen werden. Auch in anderen Bereichen. Apple entwickelt AirPlay ja seit Jahren in keiner Weise weiter. Trotzdem setzt man es jedes Jahr bei jedem Major iOS-Update zuverlässig außer Funktion in dem man immer den exakt gleichen Fehler einbaut (Videowiedergabe stoppt sobald das Gerät in den Standby schaltet). Warum man das so präzise tut, so dass man danach eine Uhr stellen kann, ist völlig unklar. Ist einfach so.
Zum Beispiel, indem mehrere Teams an an mehreren Releases arbeiten. Oder die Mannschaft der Programmierer wird größer, nutzt Programmschnipsel wieder von denen man „wusste“ das sie funktionieren. Spart Zeit, aber schleppt unter anderem Fehler mit. Auch Apple passiert das inzwischen. Ich warte intwischen auf x.1er Versionen, und selbst hier warte ich noch. Habe gute Erfahrungen mit der Wartehaltung gemacht. Insbesondere bei Spielen bin ich wesentlich entspannter geworden. Wenn sie ein Jahr draussen sind, kosten sie bisschen weniger, und sind fertiggepatched ;)
Sie geben es zu und arbeiten an einer Lösung weil der Umstand bekannt geworden ist….
Absolut Off Topic
Lässt sich mit iOS 10 aus dem Sperrbildschirm keine Mail mehr löschen? Bei mir bewirkt der Löschbefehl nur noch das Entfernen vom Sperrbildschirm, die Mail ist ist im Posteingang weiterhin vorhanden.
Das Beispiel mit 6 Stellen und ohne Sonderzeichen ist aber wirklich nicht das beste.
Auf 9.3.5 keine Probleme. Ich werde NIE updaten. Was für ein -pardon- bescheidenes iOS hat Apple da losgelassen. Der Mehrwert hält sich deutlich in Grenzen. Apple liefert keine Qualitätssoftware mehr, das ist Fakt! Es läuft nur noch nach Bananenschema: Produkt reift beim Kunden. Absolute Frechheit und jeder der early adopter ist, ist absolut nicht zu bemitleiden sondern einfach nur naiv.
Das haben die Leute scho bei ios 9 gesagt. Und 8. und 7. und 6…. Merkst du was ?
Ihr wisst aber schon dass der Begriff alphanumerisch auch Sonderzeichen beinhaltet oder?
…und schon wieder freue ich mich, mir das Update auf iOS10 bisher verkniffen zu haben. Früher war ich immer immer „early-adoptermäßig“ unterwegs und habe sofort geupdated…aber man lernt halt dazu…schade!
Viel schlimmer ist, dass iTunes unter Windows XP nun überhaupt nicht mehr funktioniert. Jaja, ich weiß, Auslauf-OS. Aber ich werde ungern gezwungen, mir nur deshalb einen neuen Computer zu kaufen. Alles andere, alles! – sämtliche Hardware und Software läuft problemlos. Nur eben nicht iTunes…
XP? Warum so modern? Könntest doch auch bequem noch 3.11 oder ähnliches einsetzen! :-) Meine Fresse die Hohlbirnen sterben wohl nie aus. Wer auf diesem Planeten entwickel seine Software für 20 Jahre alte OS?
Das sind die gleichen Menschen, die sich keine aktuellen OS-Versionen für Ihre Smartphones aufspielen, da ja was nicht klappen könnte!?
Keiner dieser Zitat: Hohlbirnen: denkt daran, dass Apple bisher für 3-4 iPhonegenerationen entwickeln konnte. Aber da ja der Markt entscheidet, immer an alten Sachen und billigen Geräten festzuhalten (XP = 15 Jahre alt!!! Support wurde 2014 eingestellt!!!), dass es immer schwerer wird ein OS für alle Anwendungsfälle zu programmieren. Bestes Beispiel Windows oder Android.
Um sich dann zu beschweren, warum man nicht auch diese Systeme bedenkt.
Die Autoindustrie baut ja auch keine Ersatzteile für den Golf II obwohl noch ein paar Tausend davon unterwegs sind. Diese miesen Abzockerunternehmen denken nur an ihren Profit….lol
Früher war eben alles Besser ;)
Zu den XP-Usern…wenn selbst Microsoft sein eigenes OS nicht mehr Unterstützt, warum sollte ein „Zulieferer“ das noch tun….*kopfschüttel*
Dummheit wird wohl nie Aussterben.
Mach ein Linux drauf und du hast wieder ein modernes System, das dennoch auf alter HW läuft. Xubuntu.
Eine Frage: ich habe immer noch windows xp (ja, ich weiß… )! Habe ich richtig gesehen dass es keine iTunes Version mehr gibt die mit xp und das iPhone 7 funktioniert?
Ich könnte deshalb meinen Backup nicht mehr draufspielen!
Wer nutzt denn ein 6-10 stelliges Backup-Passwort? So selten wie man dieses braucht, kann man auch 30 Stellen verwenden.
Genau so ist es. Einfach mit nem Pw Manager ein komplexes und langes Pw generieren. Anschließend sehr gut aufbewahren.
Ein Schelm, wer Böses dabei denkt …
Bei jeder Firma, bei der ich bisher gearbeitet habe, wurde das alte erstmal verwendet, bevor man etwas ändert.
Irgend jemand hat sich bewußt dafür entschieden, es bei der Verschlüsselung anders als früher zu machen. Solche Sachen passieren, aber sonderbar ist es trotzdem…
Vielleicht sollen Behörden kurzfristig auf die Daten zugreifen können……
So bewahren beide Seiten ihr Gesicht…..
Du hast es erfasst.
Aber erstmal musst du den Behörden deinen Rechner zu Verfügung stellen…on- oder offline
Echt jetzt….tztztz
Aber schön das man die Software zum knacken auch gleich im Internet bestellen kann !
Basis Version 79€
Und forensische Version 799€
Was ist eigentlich aus, wie heißt das nochmal, iTunes Connect in Aüple Music geworden? Würde das wieder beerdigt, oder finde ich es einfach nur nicht mehr?